Riku Ruokolahti: Omdømme er en central faktor i bekæmpelsen af informationsmanipulation

I informationskrigen kæmpes der om folks opfattelse, og demokratiet som system bygger netop på folks opfattelse. Netop derfor er demokratiet med dets institutioner særligt sårbart, når en informationspåvirker slår til. En organisations omdømme består derimod af de fælles opfattelser, som folk har af den pågældende organisation. Denne artikel belyser informations- og cyberpåvirkning fra angriberens perspektiv samt hvordan organisationens omdømme hænger sammen med dette.

Set fra en cyberangribers synspunkt handler det i bund og grund om maskiner og mennesker samt de tillidsforhold, der eksisterer mellem dem, og mere specifikt om misbrug af disse tillidsforhold til angriberens fordel.

Lad os tage et eksempel. Du modtager en overraskende, men tilsyneladende harmløs besked fra dit barns lærer. I beskeden opsummeres der, hvad der er sket i klassen. Du svarer på beskeden og nævner ting om dit barns helbred, som læreren allerede ved. Men det gør vedkommende ikke. Vedkommende ved det ikke, fordi afsenderen ikke er læreren, men en ondsindet hacker, der kender dig alt for godt. Du har netop afsløret yderligere personlige oplysninger for ham ved at nævne dit barns helbredstilstand. Den næste besked indeholder en vedhæftet fil, der netop vedrører denne helbredstilstand, og som du åbner på trods af computerens advarsler. Selvfølgelig åbner du den. Det er meget få, der ikke ville gøre det.

Du gættede rigtigt. Vedhæftningen er et sofistikeret stykke malware.

Gerningsmanden bag dette tilfælde har udført sin rekognoscering og forberedt sit angreb omhyggeligt. Han har udnyttet dine sårbare punkter samt det tillidsforhold, der er mellem dig og læreren, og nu udnytter han computerens tillidsforhold til sin administrator. Som administrator åbnede du vedhæftningen på trods af advarslerne. På dette tidspunkt har angriberen fået adgang til din computer og udnytter tillidsforholdene mellem computerens interne grænseflader. Og når der først er opnået adgang som en betroet kilde, stiller computeren ikke længere spørgsmålstegn ved tillidsforholdene så let. Et eller andet sted i din computers indre findes der en mindre kendt programmeringsfejl, som angriberen fortsat udnytter mellem din computers programmer og dit arbejdssteds interne netværk. Der er nemlig et tillidsforhold mellem dit arbejdssteds interne netværk og din computer. Uanset om det drejer sig om maskiner eller mennesker, er tillid kernen i angriberens arbejde.

Hvis du bliver udsat for et så omhyggeligt forberedt angreb, har du sandsynligvis at gøre med fortrolige oplysninger eller en organisation, der er af interesse for angriberen. Det endelige mål for et avanceret angreb er sjældent en enkelt person.

Som vi så i det foregående eksempel, handler det i cyberverdenen ikke kun om at påvirke maskiner; et centralt element i cyberangreb er også at narre mennesker.

Dette fører os naturligt videre til informationsmiljøet og derfra til informationspåvirkning. Vi udviklede engang hos T-Media en langsgående undersøgelse, der gik i dybden med finnernes værdier. Der var ikke tale om et let sammenstillet spørgsmålsskema, men vi hørte i kvalitative interviews fra en meget bred vifte af centrale meningsdannere (bl.a. ærkebiskoppen, præsidentembedet, statssekretærer, indflydelsesrige personer inden for kultur- og kunstverdenen, pensionistorganisationer, fagforeninger, tænketanke, repræsentanter for erhvervslivet, unge og repræsentanter for forskellige minoriteter). På baggrund af dette grundarbejde skabte vi en kvantitativ måler, der dykkede ned i de værdier, der hersker blandt finnerne, og de kommende ændringer i disse. Undersøgelsen fik et navn, der gjorde retfærdighed til den indsats, der var lagt i den. Undersøgelsen fik navnet Kansan arvot (Folkets værdier).

UNDERSØGELSEN OM FOLKETS VÆRDIER

Undersøgelsen »Folkets værdier«, som blev udviklet og gennemført af T-Media, var en del af det økonomiske informationsbureau TAT’s indsats for at kortlægge ændringer i det omgivende miljø. Gennemførelsen af denne yderst interessante undersøgelse blev afbrudt på grund af manglende finansiering, da det økonomiske informationsbureau TAT justerede sin strategi og fokuserede på unge. Undervejs skiftede navnet også: Det økonomiske informationsbureau TAT hedder i dag Talous ja nuoret TAT.

Forskellige meningsmålinger og fortolkningen heraf er almindelige redskaber for efterretningstjenesterne. Med hjælp herfra kan man for eksempel forudse samfundsmæssige forandringer eller, i værste fald, forsøge at vurdere på forhånd, hvordan ukrainerne ville tage imod en potentiel besætter. Forskningsdata er også et vigtigt redskab i informationspåvirkning. Rapporten om undersøgelsen af befolkningens værdier ville have været en sand skat for en ondsindet angriber. Undersøgelsen afslørede nemlig mere end blot værdier og ændringer i disse. Den afslørede en polarisering af værdierne. Altså de emner, hvor borgerne er stærkt uenige indbyrdes. Netop denne viden er værdifuld i informationskrigsførelse set fra angriberens perspektiv.

Når en angriber identificerer de samfundsmæssige skel, kan vedkommende på effektiv vis skabe splid mellem mennesker. Ved at forstærke spliden fjerner man folk fra hinanden og skaber mistillid, hvilket igen svækker nationens sammenhold og dermed dens evne til at træffe beslutninger og handle. På denne måde rystes hele nationer. Man behøver blot at læse nyhedsstrømmen eller se sig omkring for at forstå, hvor effektivt dette er. Den amerikanske demokrati knagede i samlingerne under de to foregående præsidentvalg og i efterdønningerne heraf. Informationspåvirkning siges også at have spillet en nøglerolle i Storbritanniens udtræden af EU.

NYE ORD SOM DEL AF INFORMATIONSINDFLYDELSE

En angriber kan f.eks. via online-diskussioner snige termer og nyskabte ord ind i vores dagligsprog, som skaber polarisering og splid. Disse glider ubemærket ind i vores dagligsprog, og en målbevidst informationspåvirker kan følge det nye liv, som den terminologi, han har opfundet, får i politikernes mund, i debatprogrammer og endda i tv-nyhederne. Det er svært at bevise terminernes egentlige oprindelse senere, især når informationspåvirkning er en langsigtet aktivitet: målrettede ord kan have været i brug i over et årti. Vi bruger måske selv informationskrigens sprog uden at være klar over det. For eksempel blev en person, der argumenterede for NATO, før krigen i Ukraine meget let stemplet som NATO-høg, og kritik af den russiske regering er til gengæld blevet forsøgt stemplet som russofobi.

Institutionernes forudsætninger bygger på enkeltpersoners tillid

Samfundet består ikke kun af mennesker, men også af institutioner. Med institutioner menes i denne sammenhæng konkrete organisationer, der hører under den offentlige forvaltning, og de udgør et frugtbart jordbund for en ondsindet angriber. Borgernes tillid til deres institutioner er en ufravigelig forudsætning for et velfungerende samfund. Det ligger derimod i angriberens interesse at undergrave borgernes tillid til samfundssystemet.

På dette tidspunkt ser vi ikke kun tingene fra angriberens eller forsvarets synspunkt, men også gennem forsonerens øjne. Vi er allerede blevet ret snu på dette tidspunkt, og det er på høje tid, at vi ud over at ødelægge også begynder at opbygge tillid omkring os.

I forbindelse med T-Medias Reputation&Trust måler vi den støtte, som hver enkelt offentlig organisation nyder blandt borgerne. Denne støtte fra interessenterne omfatter borgernes tillid til organisationen, tillid i krisesituationer, vilje til at lytte til organisationens holdninger, vilje til at støtte organisationen med skattepenge, vilje til at arbejde for organisationen og sandsynligheden for at tale positivt om organisationen.

Disse former for individers tillid og adfærd i forhold til en offentligt finansieret organisation udgør kort sagt den pågældende organisations samfundsmæssige forudsætninger for at fungere. Og netop disse forudsætninger er, set ud fra et informationspåvirkningsperspektiv, de faktorer, som angriberen søger at underminere, og som vi som medlemmer af samfundet ønsker at forsvare.

Hvordan forsvarer man en organisations driftsbetingelser i informationskrigen?

For at kunne opbygge og om nødvendigt forsvare en organisations forudsætninger for at fungere, er det nødvendigt at forstå, hvor de stammer fra. Formålet med og baggrunden for Reputation&Trust går netop i dybden med dette spørgsmål. Da vi udviklede modellen, søgte vi at identificere, isolere og formulere de generiske opfattelser, der er knyttet til organisationer, og som har forbindelse til interessentstøtte, dvs. driftsbetingelserne set fra en aktør i den offentlige sektors synspunkt.

Reputation&Trust modellerer en organisations omdømme statistisk ud fra otte forskellige faktorer. Yderligere oplysninger om modellen.

Reputation&Trust har i årevis været anvendt i vid udstrækning i organisationer i den offentlige sektor. Antallet af individuelle Reputation&Trust i den offentlige sektor er imponerende. Denne mængde ensartet gennemførte undersøgelser giver mulighed for at se de indsamlede data som en helhed og dykke dybere ned i emnet.

Den vedlagte metaanalyse viser os sammenhængen mellem omdømme og den offentlige sektors rammebetingelser. Metaanalysen resulterer i en statistisk model, der viser, at ændringer i omdømmet i gennemsnit påvirker den offentlige sektors interessentstøtte med en faktor på 1,11. Med henvisning til denne undersøgelse kan man med sikkerhed konkludere, at omdømmet er en central faktor for institutionernes og dermed samfundets rammebetingelser. Ved at udvikle deres omdømme vinder institutionerne borgernes tillid og øger deres modstandsdygtighed i tilfælde af, at man forsøger at underminere deres forudsætninger for at fungere.

Den observerede omdømmefaktor er naturligvis en mulighed for både angriberen og forsvareren: Selv en lille skade på omdømmet underminerer handlingsmulighederne, når omdømmefaktoren er god. Proaktivt omdømmearbejde styrker tilsvarende kriseresiliens, når omdømmefaktoren er god.

Metaanalyse Reputation&Trust om omdømme og tillid i den offentlige sektor

Hvert punkt på dette diagram repræsenterer en offentlig forvaltningsorganisation, der er blevet undersøgt Reputation&Trust i årene 2018–2021. Hvert punkts placering på billedet er baseret på den pågældende organisations statistisk modellerede omdømme og støtte fra interessenter. Den vandrette akse viser organisationens omdømme, og den lodrette akse viser støtte fra interessenter. Støtten fra interessenterne er baseret på gennemsnittet af de ovenfor beskrevne driftsbetingelser, der er målt for organisationen (tillid, vilje til at tale positivt osv.). Omdømmet er derimod organisationens omdømme, som er statistisk modelleret ved hjælp af Reputation&Trust. Den statistiske fejlmargin for hver enkelt undersøgelse (punkt på kortet) afhænger af standardafvigelsen for svarene i den pågældende undersøgelse, men ligger i alle de viste undersøgelser mellem 0,04 og 0,06 på skalaen fra 1 til 5. Datamaterialet omfatter et stort antal forskellige organisationer i den finske offentlige sektor.

Synlighed er en del af forsvaret

En repræsentant for institutionen kan nu få den tanke, at omdømme ikke har nogen betydning for den brede offentlighed, hvis organisationen er meget lidt kendt. Dette kan være en farlig tankegang. I det følgende vil jeg begrunde hvorfor.

Nedenfor vises kendskabet til to forskellige organisationer.

Det er kun meget få, der kender organisation A, mens næsten alle finner kender organisation B i det mindste af navn. Og når en person siger, at han kender organisationen ved navn, ved han sandsynligvis allerede betydeligt mere om den end blot en bogstavkombination. Et navn huskes ikke let, medmindre det knyttes til en sag eller et billede.

Set fra en angribers synspunkt er disse organisationer meget forskellige. Den ene organisation er velkendt i befolkningen, mens kun få kender til den andens eksistens.

Er det så sådan, at organisation A, som kun er lidt kendt, ikke behøver at bekymre sig om sit omdømme set ud fra et informationspåvirkningsperspektiv? Desværre er det ikke tilfældet. Faktisk kan organisation A set ud fra et informationspåvirkningsperspektiv være et lettere mål end organisation B.

Når der stort set ikke findes nogen forestillinger, kan opfattelser af en organisation hurtigt opstå på initiativ af andre end organisationen selv. Dette kunne f.eks. være tilfældet for Statsrevisionskontoret (VTV). Jeg påstår ikke, at netop begivenhederne i forbindelse med VTV's omdømmekrise udviklede sig ud fra en informationspåvirkerens udgangspunkt, men VTV er et godt eksempel på, hvordan en lidet kendt institutions omdømme meget hurtigt kan blive fyldt med negative forestillinger. I dag er VTV en meget kendt organisation.

Det ovenfor beskrevne fænomen er naturligvis en mulighed for en hacker. På sin vis kunne man tænke sig, at det ville være fornuftigt for en offentligt finansieret institution af national betydning at holde borgerne i det mindste i et vist omfang orienteret om institutionens eksistens, aktiviteter og mål.

Jeg påpegede, at organisation A set fra angriberens synspunkt måske er et lettere mål end organisation B, men dette er ikke en selvfølge. Situationen afhænger af organisation B’s omdømme. Kendskab i sig selv er ikke ensbetydende med direkte forsvarsevne. Lad os antage, at organisation B har samme kendthed som VTV i dag. Potentielle nye negative oplysninger om organisationen, uanset om de er sande eller falske, ville falde på frugtbar jord set fra angriberens synspunkt. Modtagelsen af nye oplysninger ville blive påvirket af en bekræftelsesbias: borgerne ville være ret tilbøjelige til også at tro på nye negative ting om VTV, fordi de ville understøtte de eksisterende opfattelser af den pågældende organisation. Derfor ville det være betydeligt lettere at underminere VTV's forudsætninger for at fungere end f.eks. politiets.

Organisation B kunne for øvrigt, set i lyset af dens anseelse, være politiet, som nyder et ret godt ry og stor tillid blandt borgerne. Set fra angriberens synspunkt er det netop af denne grund svært at ryste politiets position. Man tror ikke rigtig på negativ information om en velrenommeret organisation, selvom den skulle være sand.

Dette fænomen kaldes kognitiv dissonans. Kort fortalt betyder det en ubehagelig følelse, der opstår, når vi modtager information, der ikke stemmer overens med vores eget verdensbillede. Vi ignorerer let sådan information og går videre. Kognitiv dissonans opstår i sådanne tilfælde som følge af et stærkt omdømme og er i sig selv en central forsvarsmekanisme. Som kommunikationskonsulenterne siger: ”Omdømmet bærer os gennem kriser.” Sådan kan det virkelig være!

For en sikkerheds skyld skal det endnu en gang understreges, at organisationerne A og B ikke er VTV og politiet. Kendskabsundersøgelserne omhandler eksempler på organisationer, der i denne sammenhæng forbliver anonyme.

Lav synlighed udgør en risiko for institutionen set ud fra et informationspåvirkningsperspektiv, selv om synlighed i sig selv ikke skaber modstandsdygtighed for organisationen. Resiliens i forhold til informationspåvirkning opstår gennem et godt omdømme, og et godt omdømme skal fortjenes og opbygges, allerede før der opstår problemer, så tillids- og omdømmebufferen kan modstå forstyrrelser forårsaget af uventede situationer.

Hvad, er Finland et korrupt kleptokrati?

Selvom det kan være svært at ryste en central institution, betyder det ikke, at man ikke alligevel konstant forsøger at gøre det. Tiden er på angriberens side. Enhver organisation vil på lang sigt begå fejl eller støde på problemer, som en vedholdende angriber kan udnytte ved at intensivere sine allerede igangværende informationsoperationer.

Vi i Vesten betragter det russiske magtsystem som et korrupt kleptokrati. Netop nu, i foråret 2022, kunne en angriber, der havde viljen, ressourcerne og den rette timing, som situationen giver mulighed for, effektivt ryste det finske system ud fra det perspektiv, vi selv har skabt. Ved at lække sande eller opdigtede mistanker om korruption fra Rigsrevisionen og ved at kombinere disse med Jari Aarnions sag til en fortælling om politiets korruption kunne en fremskreden angriber udnytte dette tidsvindue og så tvivlens frø i befolkningen om, at vores eget system er en korrupt kleptokrati.

En analyse af omdømmets indflydelse er yderst følsom information

Lad os vende tilbage til cyberverdenen et øjeblik. Silverskin Information Security tester forskellige systemer ved systematisk at angribe dem – dog med tilladelse, eller rettere sagt på anmodning. Intensiv penetrationstestning bemærkes helt sikkert. Alarmerne burde i det mindste ringe, når angriberen prøver alt muligt og umuligt på samme tid.

På baggrund af begivenhederne under testangrebet udarbejdes der en rapport til kunden, hvor alle de afprøvede angrebsteknologier og -metoder gennemgås. Rapporten indeholder også oplysninger om, hvilke metoder der trængte igennem forsvaret, og hvor langt de nåede. Der foreslås rettelser til de fundne sikkerhedshuller. Gæt engang, om den ovenfor beskrevne rapport indeholder følsomme oplysninger. Set fra angriberens synspunkt er rapporten i praksis en vejledning i, hvordan man sikkert, elegant og ubemærket kan trænge ind i målsystemet. Og hvis noget er blevet rettet, ved man også, hvordan det er blevet rettet.

En statistisk baseret analyse af organisationens omdømme har fra informationskrigens synspunkt nøjagtig samme værdi som en rapport. Effektivitetsanalysen bygger på korrelations- og regressionsanalyser, og den viser direkte, hvilke organisationsspecifikke opfattelser der har størst indflydelse på netop den pågældende institutions forudsætninger for at fungere. Analyserne giver også oplysninger om, hvilke opfattelser der er svagere, dvs. hvilke områder af organisationens omdømme folk ved mindst om, eller hvilke opfattelser de er stærkt uenige om. En erfaren angriber ville bruge rapporten på følgende måde:

Man bør se på effektanalysen for at finde de faktorer, der i højeste grad styrker og svækker tilliden til den pågældende organisation.
Man ville gennemgå en polarisationsanalyse af komponenterne og udvælge den komponent af omdømmet, hvor der samtidig er størst uenighed og størst uvidenhed.
Ville målrette en massiv informationskampagne med kirurgisk præcision mod netop det område af målorganisationens omdømme, hvor indflydelse, uenighed og uvidenhed mødes.

På den måde ville en hacker kunne underminere den pågældende institutions troværdighed utroligt effektivt. Alle angrebene ville ramme netop det sted, hvor beskyttelsen er svagest eller slet ikke findes, og hvor der under beskyttelsen befinder sig et vigtigt indre organ.

Set fra angriberens synspunkt er slutrapporten fra penetrationstesten og effektanalysen Reputation&Trust i praksis det samme. De er som færdigudarbejdede strategier, der med sikkerhed vil lykkes. Det er de også for forsvareren, men set fra forsvarerens synspunkt er succesen ikke lige så sikker, og forsvareren har ikke råd til at vente på det rette øjeblik. Overtrædelser er på mange måder nemmere og hurtigere end planmæssig opbygning af smukke ting. Netop derfor skal kriseresiliens opbygges både i cyberverdenen og i omdømmets verden kontinuerligt, målrettet og frem for alt i fredstid.

Nogle gange kan helt forskellige veje føre til det samme sted

Denne gang er cybersikkerhed og omdømme endt i samme bås, mener forfatteren af denne artikel, Riku Ruokolahti, udviklingschef hos T-Media og hovedudvikler Reputation&Trust . Riku har ud over sit arbejde med omdømmestyring også været involveret i forskellige baggrundsopgaver inden for cybersikkerhed. De mest bemærkelsesværdige af disse er mere end ti års arbejde i bestyrelsen for cyberangrebsvirksomheden Silverskin Information Security Oy samt arbejde som investor og ledelsesrådgiver i Cyber Intelligence House, der er specialiseret i darkweb-efterretning.

Silverskins centrale filosofi er at øge den samlede sikkerhed for virksomheder og samfund ved at betragte institutioner ud fra angriberens perspektiv og på dette grundlag foreslå afhjælpende foranstaltninger. CIH indsamler på sin side information og observerer fænomener, hændelser, forbrydelser og datalækager, der finder sted i anonyme netværks skjul. Lovlige institutioner (bl.a. INTERPOL), samfund og virksomheder udnytter de oplysninger, CIH indsamler, så de kan forberede sig på og reagere på trusler.

Indholdet i artiklen og angrebsscenarierne er blevet gennemgået af cybersikkerhedsekspert Mikko S. Niemelä. Mikko har grundlagt cyberangrebsvirksomheden Silverskin og Cyber Intelligence House, der er specialiseret i cyberafterretning. Derudover underviser Mikko i cybersikkerhed ved National University of Singapore og fungerer som rådgiver for blandt andet FN's Kontor for Narkotika- og Kriminalitetsbekæmpelse (UNODC) og INTERPOL.